DNS Cache TTL
Hallo Leute,
ich habe ein kleines Problem mit einer Supportabteilung von einem deutschen Routerhersteller.
Es geht dabei um einen relativ großen HotSpot Standort. Der eingesetzte Router Vor-Ort ist von Mikrotik und dieser macht das DNS Caching.
Jetzt habe ich vor gut einer Woche den neuen Router, VOR, den Mikrotik Router gesetzt und dieser stellt nur die Internetverbindung bereit. Zu dem Zeitpunkt war auf dem MikroTik Router NAT aktiviert wodurch alle Anfragen von einer IP an den neuen Router gestellt worden. Nach einer entsprechenden Zeit ging am Standort nichts mehr, da der neue Router ein Limit hat, welches nach einiger Zeit erreicht war. Leider stand das nicht im Datenblatt.
Jetzt zum eigentlich Problem. Wenn eine IP (Source oder Destination) in dieses Limit läuft blockt der Router die IP. Dabei scheint Ihm der Port egal zu sein, da ICMP auch nicht mehr ging. Das gleiche betrifft frühere Verbindungen zu oder von der IP aus. Wenn die Anfragen aber dann sinken baut er die Blockade nicht mehr ab. Das NAT ist mittlerweile aus und wird an einer anderen Stelle erledigt. Von dem Block waren die beiden OpenDNS Server als DestIP betroffen. Das Limit liegt bei 25.000 gleichzeitigen Verbindungen. Am MikroTik Router sehe ich höchstens 10.000 und das von allen IPs.
Der Support schiebt das Problem auf einen fehlerhaft konfigurierten DNS Caching Server (an der Stelle der MikroTik) und verlangt von mir dort eine TTL von z.B. 120 Sekunden zu vergeben und an der Stelle fängt bei mir Fragezeichen größer zu werden an.
Wie konfiguriert man in einem Caching Nameserver denn bitte die TTL?
Ich finde weder bei MikroTik eine Einstellung (nur max lifetime ttl) noch im Microsoft DNS Server. Meiner Meinung nach auch absoluter Bullshit, da die TTL ja von der Zone mitgeteilt wird und diese kommt von einem autoritativen Nameserver.
Vielleicht hat ja einer eine Idee
Gruß
exchange
ich habe ein kleines Problem mit einer Supportabteilung von einem deutschen Routerhersteller.
Es geht dabei um einen relativ großen HotSpot Standort. Der eingesetzte Router Vor-Ort ist von Mikrotik und dieser macht das DNS Caching.
Jetzt habe ich vor gut einer Woche den neuen Router, VOR, den Mikrotik Router gesetzt und dieser stellt nur die Internetverbindung bereit. Zu dem Zeitpunkt war auf dem MikroTik Router NAT aktiviert wodurch alle Anfragen von einer IP an den neuen Router gestellt worden. Nach einer entsprechenden Zeit ging am Standort nichts mehr, da der neue Router ein Limit hat, welches nach einiger Zeit erreicht war. Leider stand das nicht im Datenblatt.
Jetzt zum eigentlich Problem. Wenn eine IP (Source oder Destination) in dieses Limit läuft blockt der Router die IP. Dabei scheint Ihm der Port egal zu sein, da ICMP auch nicht mehr ging. Das gleiche betrifft frühere Verbindungen zu oder von der IP aus. Wenn die Anfragen aber dann sinken baut er die Blockade nicht mehr ab. Das NAT ist mittlerweile aus und wird an einer anderen Stelle erledigt. Von dem Block waren die beiden OpenDNS Server als DestIP betroffen. Das Limit liegt bei 25.000 gleichzeitigen Verbindungen. Am MikroTik Router sehe ich höchstens 10.000 und das von allen IPs.
Der Support schiebt das Problem auf einen fehlerhaft konfigurierten DNS Caching Server (an der Stelle der MikroTik) und verlangt von mir dort eine TTL von z.B. 120 Sekunden zu vergeben und an der Stelle fängt bei mir Fragezeichen größer zu werden an.
Wie konfiguriert man in einem Caching Nameserver denn bitte die TTL?
Ich finde weder bei MikroTik eine Einstellung (nur max lifetime ttl) noch im Microsoft DNS Server. Meiner Meinung nach auch absoluter Bullshit, da die TTL ja von der Zone mitgeteilt wird und diese kommt von einem autoritativen Nameserver.
Vielleicht hat ja einer eine Idee
Gruß
exchange
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268014
Url: https://administrator.de/forum/dns-cache-ttl-268014.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Nicht unüblich
Aber ich kann den Support verstehen, ich verstehe hier auch nicht was du uns sagen willst...
Gruß,
Peter
Nicht unüblich
Nach einer entsprechenden Zeit
Was ist eine entsprechende zeit und wie ist die bei dir Eingestellt?da der neue Router ein Limit hat,
Und um welches Limit geht es da?Leider stand das nicht im Datenblatt.
Da stand aber sicherlich das dein uns ungenanntes Gerät Sicherheitseinstellung hat welche das dahinterliegende Netz schützen und den Internetzugang frei halsten soll. Sachen wie DDOS usw. versuchen diese Geräte ja zu erkennen und tja, dann blocken die schon mal.Wenn eine IP (Source oder Destination) in dieses Limit
Welches Limit?Der Support schiebt das Problem auf einen fehlerhaft konfigurierten DNS Caching Server
Betreibst du denn eine Caching DNS?Aber ich kann den Support verstehen, ich verstehe hier auch nicht was du uns sagen willst...
Ich finde weder bei MikroTik eine Einstellung (nur max lifetime ttl) noch im Microsoft DNS Server.
2 DNS (Server) im eigenen Netz welche sich der Außenwelt mitteilen?Vielleicht hat ja einer eine Idee
Mal doch mal auf wer was bei dir tut, mit Routing und so, damit wir verstehen wer wann wo zuständig ist....Gruß,
Peter
Hallo,
die "max lifetime ttl" ist üblicherweise eine Obergrenze die der caching resolver verwendet. Wenn nun also vom eigentlichen Nameserver eine TTL > 120 mitgeteilt wird und du 120 als Maxwert gesetzt hast wird vom Resolver 120 als TTL verwendet. Was das allerdings mit deinem Problem mit zuvielen "Verbindungen" zu tun haben soll weiß ich auch nicht. DNS ist üblichweise UDP also verbindungslos und eine niedrigere TTL führt ja eher zu mehr Traffic???
Du solltest eher die DoS Absicherung des Routers prüfen und eventuell eine Ausnahme für UDP Port 53 einrichten...
Gruß
Andi
die "max lifetime ttl" ist üblicherweise eine Obergrenze die der caching resolver verwendet. Wenn nun also vom eigentlichen Nameserver eine TTL > 120 mitgeteilt wird und du 120 als Maxwert gesetzt hast wird vom Resolver 120 als TTL verwendet. Was das allerdings mit deinem Problem mit zuvielen "Verbindungen" zu tun haben soll weiß ich auch nicht. DNS ist üblichweise UDP also verbindungslos und eine niedrigere TTL führt ja eher zu mehr Traffic???
Du solltest eher die DoS Absicherung des Routers prüfen und eventuell eine Ausnahme für UDP Port 53 einrichten...
Gruß
Andi
Hallo,
die TTL wird vom Nameserver vorgegeben der für die Domain zuständig ist, der Caching Resolver also die MikroTik oder MS-DNS können nun diesen Wert verwenden und "runterzählen" um die Gültigkeitsdauer zu bestimmen, oder eine Ober-/Untergrenze auf den TTL Wert anwenden und dann diesen Wert verwenden. Ist aber auf jeden Fall Banane diesen Wert nach unten zu drücken, da dann mehr Verbindungen zu den OpenDNS Server pro Zeiteinheit benötigt werden, da der gecachete Wert schneller ungültig wird. Das ganze per min-TTL nach oben drücken sollte auch vermieden werden, da der Eigentümer der Domain darüber eventuell Loadbalancing/Ausfallsicherheit steuert.
Was du mal testen könntest wäre bei der ersten MikroTik im Endnetz die zweite MikroTik als Forwarder eintragen und auf der NAT MikroTik zusätzlich den DNS Cache einschalten. Damit macht die zweite außerhalb des VPN die eigentliche Namensauflösung. Du musst nur verhindern das der Zugriff auf diese dann vom VPN Router gesperrt wird...
Gruß & viel Erfolg
Andi
die TTL wird vom Nameserver vorgegeben der für die Domain zuständig ist, der Caching Resolver also die MikroTik oder MS-DNS können nun diesen Wert verwenden und "runterzählen" um die Gültigkeitsdauer zu bestimmen, oder eine Ober-/Untergrenze auf den TTL Wert anwenden und dann diesen Wert verwenden. Ist aber auf jeden Fall Banane diesen Wert nach unten zu drücken, da dann mehr Verbindungen zu den OpenDNS Server pro Zeiteinheit benötigt werden, da der gecachete Wert schneller ungültig wird. Das ganze per min-TTL nach oben drücken sollte auch vermieden werden, da der Eigentümer der Domain darüber eventuell Loadbalancing/Ausfallsicherheit steuert.
Was du mal testen könntest wäre bei der ersten MikroTik im Endnetz die zweite MikroTik als Forwarder eintragen und auf der NAT MikroTik zusätzlich den DNS Cache einschalten. Damit macht die zweite außerhalb des VPN die eigentliche Namensauflösung. Du musst nur verhindern das der Zugriff auf diese dann vom VPN Router gesperrt wird...
Gruß & viel Erfolg
Andi